Les risques de ChatGPT pour la protection des données d'entreprise

Un créateur de malwares a révélé sur un forum spécialisé qu'il utilisait ChatGPT pour reproduire des techniques bien connues. Il a partagé le code Python développé avec l'outil pour un vol de données.

ChatGPT, développé par le lab d'intelligence artificielle OpenAI, est un chatbot humanoïde qui fait sensation dans le monde entier. C'est aujourd'hui l'application qui connaît la croissance la plus rapide de l'histoire, avec 100 millions d'utilisateurs actifs en seulement deux mois – en comparaison, TikTok avait mis neuf mois à atteindre ce cap.  

Ce puissant outil open source peut répondre à quasi toutes les demandes : rédiger des dissertations, des accords et des contrats juridiques, résoudre des problèmes mathématiques complexes ou encore passer un concours médical. Il a ainsi le potentiel de révolutionner la façon dont les entreprises fonctionnent. Avec ChatGPT, il est en effet possible de rédiger des rapports rapidement et de traiter efficacement les demandes, notamment du service client. L'outil peut même écrire du code, effectuer des analyses marché ou même développer un site web.

Mais si ChatGPT offre de nombreux avantages, il pose également des questions urgentes en matière de sécurité. L'un des principaux risques associés à cette technologie est ainsi le pouvoir qu'elle donne aux cybercriminels amateurs en matière de codage pour créer et déployer des malwares. Avec ChatGPT, toute personne mal intentionnée peut en effet rapidement développer et diffuser de telles attaques qui, nous le savons, font des ravages dans les entreprises.

L’expert en sécurité Check Point Research a notamment signalé que, dans les semaines qui ont suivi la sortie de ChatGPT, les membres de forums de cybercriminalité, y compris ceux ayant des compétences limitées en matière de codage, l'ont utilisé pour créer des logiciels et des emails à des fins d'espionnage, d'attaque par ransomware et de spamming. Check Point indique qu'il est encore trop tôt pour savoir si ChatGPT deviendra véritablement l'outil de prédilection des utilisateurs du Dark Web.

Dans un exemple rapporté par Check Point, un créateur de malwares a révélé sur un forum spécialisé qu'il utilisait ChatGPT pour reproduire des techniques bien connues. L'individu a partagé le code Python développé à l’aide de ChatGPT pour un vol de données. Ce hacker a ainsi recherché, copié et transféré 12 types de fichiers issus d'un système compromis, notamment des documents Office, des PDF et des images.

ChatGPT augmente l'exposition au piratage

Les cybercriminels peuvent utiliser ChatGPT et d'autres outils d’IA générative pour rendre les escroqueries, dont le phishing, plus efficaces. Les messages traditionnels sont souvent facilement reconnaissables par leur orthographe maladroite. Mais ChatGPT peut y remédier. Mashable a testé les capacités de la technologie en lui demandant de modifier un email de phishing. Non seulement il a rapidement amélioré et affiné le langage, mais il est également allé plus loin et a fait chanter le destinataire sans y être invité.

Bien que OpenAI affirme avoir mis en place des politiques et des mesures strictes pour protéger les données et la vie privée de ses utilisateurs, la vérité est que cela n’est pas suffisant. ChatGPT récupère des données sur le web -potentiellement d’entreprise- ce qui comporte des risques pour la sécurité. Par exemple, la récupération de fichiers peut entraîner l'exposition d'informations sensibles à des concurrents, telles que des secrets commerciaux et financiers. La réputation de l'entreprise peut également être entachée si les informations obtenues par ce biais sont inexactes. En outre, lorsque celles-ci sont récupérées, elles peuvent toujours ouvrir les systèmes à des vulnérabilités que des acteurs malveillants peuvent exploiter.

Alors, si la surface d'attaque s'est considérablement élargie avec l'avènement de ChatGPT, quel est l'impact sur la sécurité ? Auparavant, les petites et moyennes entreprises pouvaient se sentir en sécurité, pensant qu'elles ne valaient pas la peine d'être piratées. Cependant, ChatGPT facilitant la création de codes malveillants à grande échelle, l'exposition a augmenté et ce pour tous ! 

ChatGPT démontre que même si le nombre de dispositifs de sécurité disponibles pour protéger augmente, ceux-ci peuvent ne pas être en mesure de suivre le rythme des technologies d'IA émergentes qui pourraient accroître la vulnérabilité. Compte tenu de la montée en flèche de la cybercriminalité, chaque entreprise doit être consciente des risques impliqués par ChatGPT et autres IA génératives, et prendre des mesures pour les minimiser.

Des mesures à prendre pour se protéger

La première étape consiste à comprendre à quel point les entreprises sont vulnérables. Les tests de pénétration, également connus sous le nom de "pen testing", peuvent aider en simulant une attaque sur leurs systèmes ou leurs applications. Cet exercice vise à identifier les failles de sécurité que des acteurs malveillants pourraient exploiter. En exposant leurs faiblesses dans un environnement contrôlé, le “pen testing” permet aux entreprises de les corriger et de réduire le risque et l’impact d'une violation de données ou autre cyberattaque. Dans le contexte de l’essor de ChatGPT, ces tests jouent un rôle crucial dans la garantie de la confidentialité, de l’intégrité et de la disponibilité des systèmes.

Les entreprises doivent également renforcer leur stratégie de résilience et disposer d'un plan de protection solide. Celui-ci consiste à disposer des mesures nécessaires à une entreprise pour protéger ses données et sa capacité à les restaurer efficacement en cas de sinistre. Il fournit également une feuille de route pour anticiper et répondre aux cybermenaces, y compris des instructions détaillées pour sécuriser les systèmes, sauvegarder les données et communiquer avec les parties prenantes pendant et après un incident. En mettant en place un plan de résilience des données optimal, les entreprises peuvent minimiser l'impact des attaques et leurs risques, contribuant ainsi à assurer le succès et la continuité d’activité.

Le stockage de données immuable est un autre moyen de lutter, en les convertissant en un format « write-one ready-many » pour qu’elles ne puissent être ni supprimées ni modifiées. Il n'existe aucun moyen d'inverser l'immuabilité, ce qui garantit que toutes les sauvegardes sont sécurisées, accessibles et récupérables. Même si des hackers obtiennent un accès complet au réseau, ils ne pourront pas supprimer ces copies ou modifier leur état.

Si ChatGPT présente des avantages pour les entreprises, il comporte également des risques importants en matière de sécurité. Il convient donc d’en être conscient et de prendre des mesures solides pour les minimiser. Se tenir informé des dernières tendances est également vital. En mettant en place une protection adéquate, les entreprises pourront exploiter le potentiel de cette technologie sans en craindre les risques.